Niezbite cyfrowe dowody

Począwszy od 1999 roku, 93% informacji wprowadzanych i tworzonych w firmach na świecie przybrało formę cyfrową. W Polsce 47% przedsiębiorstw korzysta niemal wyłącznie z dokumentów elektronicznych.

Począwszy od 1999 roku, 93% informacji wprowadzanych i tworzonych w firmach na świecie przybrało formę cyfrową. W Polsce 47% przedsiębiorstw korzysta niemal wyłącznie z dokumentów elektronicznych.

Tak masowe użytkowanie dokumentów elektronicznych sprawia, że coraz częściej stają się one narzędziem działań przestępczych i dowodami w sprawach sadowych.

Zobacz również:

Przestępczość, w której wykorzystuje się technologie informatyczne, znacząco rośnie. Jak podał Ernst & Young w raporcie "Fraud - the Unmanaged Risk", w 2004 r. tego typu przestępstwa stanowiły 20% ogółu przestępstw, w 2005 r. było ich już ponad 25%. Według przeprowadzonego w 2005 r. badania PricewatherhouseCoopers ponad połowa polskich przedsiębiorstw poniosła straty w wyniku różnego rodzaju nadużyć, w tym także przy wykorzystaniu narzędzi informatycznych. Średnia wielkość szkód została oceniona na 460 tys. USD. Aż 30% wszystkich przypadków defraudacji było spowodowanych przez byłych i obecnych pracowników, nic dziwnego, gdyż osoby te mają łatwy dostęp do systemów informatycznych firmy. Według Computer Crime Division FBI corocznie podwajają się też dochody osiągane z cyberprzestępczości. Doradzająca władzom amerykańskim Valerie McVevin z firmy Cybrinth oszacowała, że w 2004 r. światowe dochody osiągane z e-przestępczości przekroczyły wysokość przestępstw pochodzących z handlu narkotykami. Około 2010 r. mogą one osiągnąć poziom dochodów z nielegalnego i legalnego handlu bronią.

Jak zabezpieczany jest dowód elektroniczny?

Sebastian Małycha, prezes zarządu Media Recovery

Przy popełnieniu przestępstwa najlepiej skorzystać z pomocy prokuratury. W przypadku nadużyć, podejrzenia wycieku informacji lub podejrzenia włamania do systemu informatycznego, największe firmy posiadają działy "reakcji na incydenty" (ang. incident response), które odpowiadają za właściwe rozpoznanie, zabezpieczenie i przygotowanie materiału dowodowego.Dowód elektroniczny, ze względu na jego cechy, łatwo jest bowiem przypadkowo zmienić lub nim manipulować. Dlatego bardzo ważne jest, aby zabezpieczenie i dalsze postępowanie odbywały się w sposób pewny, czyli za pomocą osób, które dysponują odpowiednią wiedzą, sprzętem i oprogramowaniem. Oznacza to, że firma lub instytucja zlecająca przeprowadzenie działań związanych z informatyką śledczą musi umieć "obronić dowód". Pytania adwokata: "skąd możemy wiedzieć, że pochodzi z danego miejsca?" lub "proszę udowodnić, że dowód nie został zmieniony?" powinny znaleźć swoje odpowiedzi w tzw. łańcuchu dowodowym (ang. chain of custody). Początek takiego łańcucha to protokół zabezpieczania. W protokole tym powinny być odnotowane czas i miejsce zabezpieczania, a także specjalna suma kontrolna, która jest niepowtarzalna (np. dla danego dysku twardego). Siła sumy kontrolnej polega na możliwości jej ponownego wyliczenia w dowolnym momencie i wykazania, że dowód się nie zmienił. Pod protokołem musi podpisać się komisja, która oprócz wykonujących czynność może się składać z osób trzecich (np. adwokat) lub nawet samego właściciela komputera. Skład takiej komisji uwiarygodnia miejsce i czas zabezpieczania.

Teoria i praktyka dowodu elektronicznego

Ślady przestępczej działalności można odnaleźć w sieci i na nośnikach danych. Tylko one mogą niejednokrotnie doprowadzić do ukarania winnych. Dowodami rzeczowymi w sprawie popełnienia przestępstwa komputerowego mogą być: logi systemowe, dokumenty elektroniczne, informacje identyfikujące komputer, dane billingowe, poczta elektroniczna, system kontroli dostępu, system telewizji użytkowej CCTV.

W praktyce sądowniczej dowody te traktowane są jako równoprawne z dowodami materialnymi, pod warunkiem że pozyskano je w sposób zgodny z przepisami. Każdy z etapów zbierania dowodów musi być dobrze udokumentowany, by pozyskany w ten sposób materiał nie utracił wartości dla śledztwa. Właściwe zabezpieczenie danych cyfrowych decyduje o tym, czy będą one przydatne w postępowaniu sądowym. "Na świecie prawo dotyczące dowodów elektronicznych jest znacznie bardziej rozbudowane. Liderem są Stany Zjednoczone, w których procedury są szczegółowo dopracowane i zajmują się nimi specjalne instytucje, np. NIST, czyli National Institute of Standard and Technology. Podobnie jest w Anglii czy Holandii. W Polsce nie istnieją szczególne regulacje na temat zabezpieczania dowodów i samego dowodu. W sądach traktowane są jak dowód z dokumentu lub dowód rzeczowy. Sądy posługują się opinią biegłych. Ci z kolei muszą posługiwać się światowymi standardami, aby dowód podważyć lub obronić" - twierdzi Sebastian Małycha, prezes zarządu Media Recovery. Jego zdaniem w polskim sądownictwie w materii stosowania w praktyce dochodzeniowo-procesowej dowodów elektronicznych zachodzą obecnie duże zmiany. "Spora grupa prokuratorów rozumie, że jeśli ponad 90% informacji na świecie porusza się drogą elektroniczną, z czego połowa nie będzie nigdy wydrukowana, to jedyną drogą pozyskania dowodów jest informatyka śledcza" - zauważa prezes Małycha. Jak podaje rzecznik Komendy Głównej Policji komisarz Zbigniew Urbański, podczas każdego przeszukania dokonuje się już rutynowo oględzin komputera i innych urządzeń elektronicznych. Pozyskiwaniem dowodów elektronicznych zajmują się specjaliści informatyki śledczej, czyli computer forensics (CF). Do światowych liderów w segmencie pozyskiwania danych śledczych należą Kroll Ontrack, który dzięki globalnemu zasięgowi usług jest największą firmą w branży CF, Computer Forensics Inc. oraz największe firmy konsultingowe (KPMG, PricewaterhouseCoopers, Deloitte&Touche, Ernst&Young), specjalizujące się w tzw. Forensic Accounting. Drugi segment w branży CF stanowią producenci oprogramowania. Największymi z nich są Guidance Software, producent EnCase (firma od 2003 r. wprowadziła własne usługi CF), i Access Data, producent narzędzia FTK. Największym rynkiem usług computer forensics są obecnie Stany Zjednoczone - tam realizuje się około 63% podobnych usług.

Computer forensic - co to jest?

Computer forensic, czyli usługi informatyki śledczej, polegają na zdobywaniu, zabezpieczaniu, odtwarzaniu i prezentowaniu danych, które zostały przetworzone w sposób elektroniczny i zapisane na komputerowych nośnikach. Efektem działań specjalistów computer forensics (zwanych często elektronicznymi detektywami) są dane przygotowane w sposób spełniający kryteria dowodowe zgodnie z obowiązującymi w danym kraju regulacjami prawnymi. Wśród właścicieli firm świadomość istnienia takich usług jest jeszcze niska, dlatego większość zleceń pochodzi od organów ścigania (ok. 94%) Według analityków proporcje te będą się w najbliższym czasie zmieniać na rzecz zleceń komercyjnych. W Polsce dostarczaniem elektronicznych środków dowodowych (oprócz organów ścigania, które dysponują własnym laboratorium) zajmują się głównie firmy analityki danych, takie jak Ontrack oraz Media Recovery. Usługi tego rodzaju świadczą też w naszym kraju pojedynczy biegli sądowi lub mniejsze firmy zajmujące się odzyskiwaniem danych, np. TRS System, HB Lab, Dabi. Koszt pozyskania elektronicznych dowodów bywa różny. W Ontrack rozpoczyna się od 3,5 tys. zł i wzrasta w zależności od stopnia skomplikowania sprawy. W Media Recovery realizacja zlecenia zaczyna się od 1,5 tys. zł. Wynajęcie inżyniera odzyskiwania danych (np. w Media Recovery) wraz z niezbędnym sprzętem kosztuje ok. 150-200 zł za godzinę pracy. Dodatkowo należy uwzględnić koszty przejazdów, noclegów itp., jeśli zlecenie jest realizowane poza granicami Polski. Klasyczne dochodzenie prowadzone tylko na obszarze Polski na zlecenie średniej wielkości firmy to wydatek od 5000 do 20000 zł. Jednak, zdaniem analityków informatyki śledczej, biorąc pod uwagę, że przedmiotem wycieku mogą być np. szczegóły technologiczne maszyny produkcyjnej wartej ponad 1 mln zł, wartość takiej usługi nie jest zbyt duża. Według danych Media Recovery specjaliści z tej firmy w 2006 r. brali udział w ok. 840 sprawach. Ponieważ średniej wielkości śledztwo obejmuje analizę ok. 10000 plików, ogółem w 2006 r. przez Media Recovery przewinęło się ok. 8 terabajtów danych.